タグ

関連タグで絞り込む (24)

タグの絞り込みを解除

securityに関するmoozのブックマーク (37)

  • アドレス空間配置のランダム化 - Wikipedia

    この記事には独自研究が含まれているおそれがあります。 問題箇所を検証し出典を追加して、記事の改善にご協力ください。議論はノートを参照してください。(2008年10月) この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。 出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方) 出典検索?: "アドレス空間配置のランダム化" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL (2008年10月) アドレス空間配置のランダム化(英語: address space layout randomization, ASLR)とは、重要なデータ領域 の位置(通常、プロセスのアドレス空間における実行ファイルの基底とライブラリ、ヒープ、およびスタックの位置が含まれる)を無作為に配置

    mooz
    mooz 2010/12/15
    Address space layout randomization, ASLR.
    リンク

  • https://jp.techcrunch.com/2010/10/26/20101024firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easily/

    https://jp.techcrunch.com/2010/10/26/20101024firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easily/
    mooz
    mooz 2010/10/26
    SSL が使われていない場合にクッキー (セッション) を抽出し, それを使ってユーザになりすます.
    リンク

  • はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

    はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28

    はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

  • Route 477 - 端末識別番号による認証「かんたんログイン」は何が問題なのか?

    ■ [ruby][vim] Gemfileをvimで色付けする方法 http://iain.nl/2010/09/gemfile-vim-syntax-file/ 普通にRubyなファイルとして扱ってもいいけど、Gemfile専用のsyntaxを公開してる人がいるのでそれを使う手も。手順は以下。 wget -O ~/.vim/syntax/Gemfile.vim http://github.com/iain/osx_settings/raw/master/.vim/syntax/Gemfile.vim wget -O ~/.vim/ftdetect/Gemfile.vim http://github.com/iain/osx_settings/raw/master/.vim/ftdetect/Gemfile.vim ■ [mobile] 端末識別番号による認証「かんたんログイン」は何が問題

    Route 477 - 端末識別番号による認証「かんたんログイン」は何が問題なのか?

  • JSON is not as safe as people think it is - Joe Walker

    Defining The Open Web Brad asked what the 'Open Web' is. Twice. My mum was always cross if she had to ask 3 times, so here's my stab. The Open Web is the user-remixable technologies that are shipped by the clear majority of major browsers So, for example: XHTML 2.0 is not ... Lessons from Hosting a Website You might have noticed that the getahead.org domain has been replaced by directwebremoting.o

    mooz
    mooz 2010/07/30
    JSON の Array コンストラクタハック. その対策.
    リンク

  • ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)

    補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブはてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win

    ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
    mooz
    mooz 2010/07/01
    PDO は DB 接続時の文字エンコーディング指定ができない. そのため, 場合によってはプレースホルダを使っていても SQL インジェクションへの脆弱性が発生する.
    リンク

  • Inline UTF-7 E4X javascript hijacking

    Inline UTF-7 E4X javascript hijacking Tuesday, 24 February 2009 I finally get to talk about this because Yosuke Hasegawa has already disclosed the IE/FF variant with JSON data. I also discovered the UTF-7 JSON hacking independently but I wasn’t aware it was public so I didn’t blog about it. Just in case you haven’t, you should check out his presentation it’s awesome! Anyway onto E4X I just love it

    mooz
    mooz 2010/06/03
    exploit code をUTF-7 でデコードして仕込む. E4X として解釈させて情報を入手.
    リンク

  • Tabnagging の自衛用 User JavaScript を書いてみた - IT戦記

    Tabnagging というフィッシング手法があるそうです。 詳しい内容は、以下の記事をごらんください。 ブラウザでたくさんのタブを開いてネットサーフィン! あなたが知らないうちに非アクティブなタブの内容が偽のGmailページに書き換えられた!(タブのアイコンも変わる!) ← 別にGmailじゃなくてもFacebookでもmixiでも。 あなたがそのタブに戻ってくるとGmail(もしくは他のサービス)のログイン画面が!(URLはおかしいけれどあなたは気づかない!) ID&PWDを入力してしまってあなた終了のお知らせ…orz ブラウザのタブを使ったフィッシングの最新手法『Tabnagging』が巧妙すぎる件… | IDEA*IDEA これは…!! というわけで、とりあえずタイトルを「ホスト名を省いたドメイン」に書き換える User JavaScript を書いてみた。 これをインストールする

    Tabnagging の自衛用 User JavaScript を書いてみた - IT戦記
    mooz
    mooz 2010/05/26
    こんな巧妙な手口が……
    リンク

  • WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記

    以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(

    WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記

  • XSS (Cross Site Scripting) Cheat Sheet

    XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to

  • www - Mozilla | MDN

    mooz
    mooz 2010/04/06
    evalInSandbox() を使った場合でも, 戻り値に関数が含まれていると Chrome 特権下でそれが実行される危険性あり. x == 1 では x.valueOf() が呼ばれる.
    リンク

  • 自分でできるWebアプリケーション脆弱性診断 - デブサミ2010

    2. プロフィール上野 宣(うえの・せん)京都市生まれ、幼少期は実家がパソコンショップ、高専でロボコンに熱中し、豊橋技科大でインターネットにハマり、奈良先端科学技術大学院大学にて山口英教授の下で情報セキュリティを専攻EC開発ベンチャー企業で創業メンバー、東証マザーズ上場などを経験を経て、2006年6月に株式会社トライコーダを設立株式会社トライコーダ 代表取締役情報セキュリティ教育ネットワークシステム/Webアプリケーション脆弱性診断http://www.tricorder.jp/ 独立行政法人情報処理推進機構(IPA)セキュリティセンター研究員セキュリティ&プログラミングキャンプ講師情報セキュリティ専門誌 ScanNetSecurity編集長Copyright©2010 Tricorder Co.Ltd. All rights reserved.2sen_u 3. 著書、連載など今夜わかる

    自分でできるWebアプリケーション脆弱性診断 - デブサミ2010

  • PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな

    タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!

    PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな

  • 知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog

    先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ

    mooz
    mooz 2009/12/17
    一読。
    リンク

  • Wizard Bible

    Wizard Bibleは2018年4月22日24時に閉鎖しました。 投稿者や読者の皆様、これまでの間当にありがとうございました。 【2021年6月27日更新】 Wizard Bibleの設立から閉鎖までに至る過程を詳細に述べたが出ることになりました。 『Wizard Bible事件から考えるサイバーセキュリティ』執筆プロジェクト 興味のある方は是非読んでみてください。 Security Akademeiaに戻る

  • セキュリティ&プログラミングキャンプ2008

    2008年7月12日 [キャンプ事務局からお知らせ] セキュリティ&プログラミングキャンプ2008の参加者の書類選考は終了しました。 既に、正式に応募を受け付けた皆様には、書類選考の結果を全員にメールにてお知らせしております。 応募は受理されたのに、書類選考の結果のメールが届いていない方は、事務局までメールにてお問い合わせください。 今回は、全部で260名(セキュリティコース:120名、プログラミングコース:140名)のご応募をいただきました。 厳正なる書類選考の結果、47名(セキュリティコース:29名、プログラミングコース:18名)を参加者として決定させていただきました。 多数のご応募ありがとうございました。 2008年7月8日 [キャンプ事務局からのお知らせ] セキュリティ&プログラミングキャンプ2008の応募は締め切りました。 多数のご応募ありがとうございました。 既に

  • 7-3. setuid は慎重に

    リスト1のサンプルプログラムsetuid_test.c をご覧いただきたい。「setuid_test.out」という名前のファイルを作成(13行目)するだけの簡単なプログラムだ。 1 #include <sys/types.h> 2 #include <sys/stat.h> 3 #include <fcntl.h> 4 #include <stdlib.h> 5 6 int main(void); 7 8 int main(void) 9 10 int fd; 11 12 /* create a file */ 13 fd = creat("setuid_test.out", 0644); 14 if(fd!=-1) close(fd); 15 } 1 $ gcc -o setuid_test setuid_test.c ← コンパイル 2 $ ls -l setuid_test 3 -

  • 前のページ 1 2

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.